¡Un millón de tarjetas de crédito robadas!

Más de un millón de tarjetas de crédito robadas son ofrecidas en la web abierta. Un grupo de ciberdelincuentes reconoció que intenta promover su negocio buscando fidelizar clientes en el mercado negro de tarjetas de crédito activas y sostiene que más del 20% de ellas son válidas. Una vez hecha la entrega al cliente, este tiene 12 horas para corroborar si está activa o no y, después de abrirla, unos 5 minutos para usarla.

Hoy los abonos mensuales para suscribir el servicio y recibir tarjetas de crédito robadas activas oscilan entre los USD 1.000. y 10.000. ¿Cómo es que operan estas ofertas? Una muestra de la transnacionalidad de la industria del ciberdelito queda expuesta en esta “promo”, en la que se incluyen tarjetas de crédito y los BIN (Banking Identification Number, por sus siglas en inglés) de los respectivos bancos, el país donde está localizado, la categoría de la tarjeta, etc. Se trata de tarjetas de crédito de por lo menos 500 entidades financieras, en más de 100 países del mundo, incluida la Argentina.

Desde el inicio de la pandemia se dio un aumento exponencial de las amenazas digitales, pero con especial foco en la información financiera de las víctimas o de los recursos necesarios para hacerse pasar por una entidad financiera. Estos hechos incluyen delitos de los llamados de Alta Tecnología, como así también el Cuento del Tío 4.0.

Entre 2020-2021 los ciberataques han aumentado en promedio un 400%. De estos ataques, casi el 70% de los apuntados fueron bancos o sus clientes u otras empresas que gestionan información sensible/financiera de personas. Los delincuentes lucran mediante el uso indebido y la venta de información de identificación personal y sensible: nombre y apellido, mail, teléfono, número de documento, detalles de cuentas bancarias, etc. Además de explotar las múltiples vulnerabilidades que las plataformas tecnológicas traen de fábrica y que es necesario descubrir para luego remediar.

En general, luego de efectuar el ataque -si logran comprometer los datos de una institución financiera- los delincuentes utilizan la información confidencial recopilada para ejecutar otro más sofisticado contra sus clientes. La nueva tendencia es explotar “las lagunas” en los servicios vinculados a terceros como e-Commerce, el comercio electrónico, medios de pago, los servicios de criptomonedas. Por todos aquellos entornos transitan nuestros datos identificatorios, filiatorios y financieros. El uso de servicios tercerizados integrados a plataformas propias implica algunos riesgos que parecen cada vez más difíciles de controlar.

Alrededor del 90% de los ataques observados que fueron dirigidos a bancos se llevan a cabo utilizando tácticas comunes de ciberdelincuencia, como spear phishing o ingeniería social. Pero los delincuentes reciclan, combinan y reutilizan variantes de malware antiguas y efectivas, como el troyano bancario FakeSpy de Android, que se propaga mediante smishing: mensajes y robo de información confidencial del dispositivo de la víctima.

Es fáctico, la innovación en la industria del ciberdelito está a la orden del día; ya varios foros de ciberdelincuentes ofrecen servicios a otros que les permiten alquilar o comprar malware. Así es como ocurre a otra escala con los ataques de ransomware, que se han duplicado respecto del año pasado. El ciberdelito, en general, ha experimentado un aumento con un enfoque en los ataques dirigidos a personas, empresas y gobiernos.

Está claro que el foco de ataque es la información personal y sensible; y aquella que permita hacerse de valores. Los bancos están primeros en la lista y sus clientes les siguen, pero sin lugar a dudas, el entramado de plataformas con las que convivimos hace que estos datos “muy sensibles” estén cada vez y con mayor asiduidad en múltiples entornos tecnológicos, con diferentes criterios de control y distintas medidas de seguridad; lo que concluye en una probabilidad de exposición mayor.

Mientras los bancos mejoran las estrategias de seguridad para defenderse, los ataques se vuelven más eficientes, quirúrgicos y personalizados.

SEGUIR LEYENDO